Seguí la práctica común de permitir solo el inicio de sesión con clave pública con SSH en Debian, luego de alguna manera cambié accidentalmente el permiso de la carpeta ~/.ssh/ (creo que pasó a ser propiedad de root), después de eso, ¡openSSH se negó a iniciar sesión! (y el servidor estaba en un país diferente, sin consola remota/KVM)
Esta configuración me parece bastante frágil. ¿Hay alguna manera de evitar esto y tal vez simplemente darme una advertencia la próxima vez que inicie sesión?
Si no hay solución, tendré que configurar una contraseña de inicio de sesión segura como respaldo, sin importar lo que digan los demás.
Encontré una pregunta de bloqueo similar, pero la causa principal fue el cambio de configuración/iptable: Evite el bloqueo al configurar SSH e iptables No cambié la configuración, así que no esperaba un bloqueo.
Respuesta1
Los hosts necesitan un método de acceso alternativo para poder recuperarlos. ssh a través de Internet requiere que todo funcione normalmente: acceso a la red, regla de permiso de firewall, sshd en ejecución y configurado, archivos de claves seguros. Cualquiera de estas interrupciones no puede entrar. El acceso fuera de banda más confiable no depende de la red IP en el host para funcionar.
Si se trata de una máquina virtual, tal vez apáguela y conecte el disco a alguna otra instancia que funcione para repararla. No es lo ideal, pero solo requiere que tengas acceso al disco.
Una copia de seguridad de los datos fuera del host permite crear un nuevo host de reemplazo. Puede parecer una tontería destruir y reconstruir sólo porque se perdió el acceso ssh, pero sigue siendo una opción de recuperación.
En cuanto a prevenir el problema en primer lugar, una verificación de sintaxis de la configuración sshd ( sshd -T -fpara OpenSSH) no detectará todo. Las pruebas de un extremo a otro se pueden realizar iniciando otro sshd, en un puerto diferente, con todo igual excepto el número de puerto. Conéctese a esto de forma remota para probar que todo funciona. Desafortunadamente, incluso teniendo ese cuidado no se detectarán cosas no intencionales, como un cambio de permisos en los directorios de inicio que accidentalmente hace que los archivos ssh no sean seguros. O un cambio de IP que podría alterar la efectividad ssh_configpor Matchpalabras clave.
Las contraseñas siguen siendo un terrible mecanismo de autenticación.